Эксперты Bitdefender обнаружили новую вредоносную кампанию.
Троян, распространяемый через платформу для разработчиков ИИ, использует уязвимости специальных возможностей Android для кражи личной информации и денег.
Киберэксперты компании Bitdefender выявили новую опасную кампанию для Android. Вредоносное ПО, маскирующееся под антивирус, использует платформу Hugging Face для распространения трояна удаленного доступа (RAT).
Атака начинается с того, что пользователи сталкиваются с scareware-рекламой, часто на поддельных страницах технической поддержки или в соцсетях. Им предлагают скачать приложение-дроппер под названием TrustBastion, которое выдает себя за легитимный антивирус.
После установки дроппер загружает основной вредоносный APK-файл с модели на платформе Hugging Face. Злоумышленники активно используют полиморфизм, генерируя новые уникальные версии вредоноса каждые 15 минут, чтобы обходить сигнатурные проверки.
Троян запрашивает критически важные разрешения, в том числе доступ к службам специальных возможностей Android (Accessibility Services). Это предоставляет ему практически полный контроль над устройством, позволяя перехватывать ввод, имитировать нажатия и обходить системы безопасности.
Как отмечают аналитики, после получения прав троян начинает скрытно собирать конфиденциальные данные. Он крадет куки авторизации, SMS-сообщения, в том числе с кодами двухфакторной аутентификации, и данные банковских карт.
Исследование показало, что вредоносная инфраструктура связана с серверами, размещенными в России. После раскрытия кампании злоумышленники переименовали троян в Premium Club, сменив его иконку и название в попытке избежать обнаружения.
Компания Bitdefender уведомила платформу Hugging Face о выявленных вредоносных моделях. Представители платформы оперативно удалили опасный контент, чтобы минимизировать дальнейший риск заражения.
Автор: Сергей Богдан
